V.I.Smirnov Δημοσ. 26 Σεπτεμβρίου 2013 Δημοσ. 26 Σεπτεμβρίου 2013 Πάντως, επισημαίνω πάλι την παρατήρηση που έγραψα πριν : στις παραπάνω δοκιμές δεν διευκρινίζεται αν αυτό που βρίσκει το TDSSkiller είναι ο πλήρης ιός ή αν πρόκειται απλώς για υπολείμματα σε κάποιους sectors έξω από την partition και το MBR. που δεν παγώνουν (οι sectors) και επέζησαν από το restart. Σε ότι αφορά το SD, όταν ήδη τρέχει, προστατεύει το MBR. Επειδή η μόλυνση της δοκιμής έγινε με το SD σε λειτουργία, αυτό που εντοπίζει το TDSSkiller είναι κάποιο ακίνδυνο υπόλλειμα σε τέτοιους sectors ενώ ο υπόλοιπος κακόβουλος κώδικας έχει χαθεί με το restart και ο ιός δεν υπάρχει και δεν μπορεί να τρέξει. Συνεπώς μπορεί να θεωρηθεί ότι το SD έχει περάσει επιτυχώς όλο το test. Ωστόσο, το SD δεν προστατεύει το MBR στο χαμηλό επίπεδο (not MBR-based protection), όπερ σημαίνει ότι αν το MBR τροποποιηθεί από π.χ. ένα άλλο λειτουργκό, το SD δεν μπορεί να εντοπίσει την αλλαγή. Με το DF δεν ξέρω ακριβώς τι γίνεται αλλά νομίζω ότι έχει MBR-based protection και αυτό είναι το ένα "κλικ" παραπάνω που έχει στην ασφάλεια σε σχέση με το SD. Αλλά έχει επίσης και όλα τα μειονεκτήματα που αναφέρθηκαν πριν. Σταθμίζετε, διαλέγετε και παίρνετε. Προσωπικά, διαλέγω το SD... -
Χάρης Μυλωνίδης Δημοσ. 26 Σεπτεμβρίου 2013 Μέλος Δημοσ. 26 Σεπτεμβρίου 2013 Άστο καλύτερα είναι μεγάλος μπελάς το SD γιατί δεν θα μπορώ να κάνω εγκατάσταση κάποιο πρόγραμμα θα πρέπει να το αλλάζω συνέχεια. Το SD είναι πολύ καλό για κάποιον Η/Υ που είναι κοινόχρηστος πχ νετ καφέ. Αν σου στείλω μέσω πμ εικόνα απο το Hijackthis θα μπορείς να μου πεις αν έχω κολλήσει κάποιο κακόβουλο λογισμικό; Και κάτι άλλο έχω παρατηρήσει το πισι μερικές φορές όταν κάνω ελαχιστοποίηση ένα παράθυρο κάνει ανανέωση τα εικονίδια στο desktop, μήπως είναι ένδειξη αυτό ότι κόλλησα ιό;
Hawk7 Δημοσ. 26 Σεπτεμβρίου 2013 Δημοσ. 26 Σεπτεμβρίου 2013 Σε τι διαφωνείς; ένα restart για να αποθηκεύσεις ένα απλό bookmark ή μια φωτογραφία είναι πολύ. Κι αν το κάνεις μια φορά και μετά θελήσεις πάλι να αποθηκεύσεις κάτι άλλο εξίσου απλό (ας πούμε άλλο ένα bookmark), άντε πάλι τα ίδια... Το ότι στο SD μπορείς να το κάνεις πατώντας ένα πλήκτρο, χωρίς τρίτα προγράμματα, σου λύνει τα χέρια. Eπιπλέον, το DF έχει όπως είπα το μειονέκτημα ότι δεν επιτρέπει hibernation του υπολογιστή (μόνο sleep), κάτι που στα laptop χρειάζεται συχνά. Tέλος, ένα ακόμη πλεονέκτημα του SD είναι (στην τελευταία του έκδοση) ότι αν έχεις άφθονη RAM μπορείς να αφιερώσεις ένα μέρος της στο SD ως write cache. Έτσι αποφεύγονται τα συνεχή γραψίματα των προσωρινών αλλαγών στον δίσκο, πράγμα σημαντικό για τους δίσκους SSD. Από την δοκιμή και των δύο κατέληξα ότι το SD είναι πιο εύχρηστο και δεν υστερεί σε ασφάλεια απ' το DF - τουλάχιστον στις συνηθισμένες καταστάσεις. Το SD δεν θωρακίζει το MBR (το προστατεύει αλλά όχι 100%), όμως τέτοια μόλυνση δεν είναι συνηθισμένη. Για τον οικιακό χρήστη, η ευχρηστία και απλότητα του SD το κάνουν να υπερτερεί έναντι του DF, έστω κι αν θεωρητικά είναι ένα "κλικ" λιγότερο ασφαλές. Εξάλλου υπάρχουν ιοί που παρακάμπτουν ακόμη και το DF. Π.χ. στην παρακάτω δοκιμή ένα rootkit το "πέρασε" : http://www.youtube.com/watch?v=fpkD_nKdGqQ Η αντίστοιχη δοκιμή για το SD είχε την ίδια επίδοση : http://www.youtube.com/watch?v=VTLuTjufQkU Όπως βλέπεις το αποτέλεσμα είναι 1-1. Αξίζει να σημειωθεί ότι στις παραπάνω δοκιμές δεν διευκρινίζεται αν αυτό που βρίσκει το TDSSkiller είναι ο πλήρης ιός ή αν πρόκειται απλώς για υπολείμματα σε κάποιους sectors έξω από την partition και το MBR που προφανώς δεν προστατεύονται και επέζησαν από το restart (και άρα το σύστημα ΔΕΝ είναι μολυσμένο). Το δίδαγμα είναι ότι στο θέμα "ασφάλεια", κανένα απ' τα δυο δεν μπορεί να θεωρηθεί καλύτερο του άλλου όταν πρόκειται για ειδικές περιπτώσεις ιών. Και ότι ακόμα και με τέτοια προγράμματα δεν μπορείς να είσαι απολύτως ξένοιαστος... - Για το κομματι της ευκολιας σου ειπα.Εξαρταται ο καθενας πως λειτουργει και τι αναζητα.Γι'αυτο και επιλεγει εκεινο που του ταιριαζει. Εγω οπως εχω το μηχανημα μου στημενο, με πληρει,και δεν θα μπορουσα να αναζητησω κατι αλλο. Στο δε κομματι του mbr,εμενα με παρεξενευει το οτι 2 διαφορετικα virtualization,αποτυγχανουν σε 2 διαφορετικα rootkits. Απ'οτι βλεπω,το infection ΔΕΝ ειναι ο πληρης Ιος,αλλα ενα byte που αλλαζει στον Mbr.Συνεπως για να σου δημιουργησει προβλημα δυσκολο το βλεπω(απο αποψη ασφαλειας,και παλι δεν ξερω,μεχρι να το δω προσωπικα).Εγω χρησιμοποιω το DF 7 χρονια,και μεχρι τωρα απλα κανενα infection,που κανω τρελες δοκιμες,και σερφαρω παντου.Αυτος ειναι ο λογος που αν διαβασεις σε παλαιοτερα posts μου,λεω οτι θωρακιζει 99,99%! Εαν παντως ο υπολογιστης δεν εχει SD,ή DF,με οποιοδηποτε AV το οποιοδηποτε πσ θα πηγαινε περιπατο.Για μενα ειναι αναντικαταστατα. Τελος,βλεπω οτι ο φιλος εχει κανει δοκιμες σε παλιοτερες εκδοσεις,καθως το DF ειναι στην 7,70,ενω το SD,1.3.0.457. Aκομη,η δοκιμη γινεται σε virtual machine,και πραγματικα δεν μπορω,και δεν εχω δοκιμασει τους συγκεκριμενους Trojans σε φυσικο δισκο.Με την πρωτη ευκαιρια,θα κανω μερικες δοκιμες.Η καθε εταιρεια,παντα και σε καινουριες ενημερωσεις,κατα την πλειοψηφια των περιπτωσεων κανει fix,καποιων τετοιων περιπτωσεων και πολλων αλλων.Δεν νομιζω να τους συμφερει να αχρηστευθουνε οι εφαρμογες τους απο τετοιες περιπτωσεις. Καλο ειναι να υπαρχει ενα scanner anti-rootkit,ωστε να γινεται ενα γρηγορος και υποτυπωδες ελεγχος μια φορα την εβδομαδα τουλαχιστον.Παντως νομιζω οτι αυτη η περιπτωση ειναι λιγο freaking situation. Εαν ομως υπαρξει τετοια μολυνση,ακομη και με το recovery disk της Microsoft,νομιζω οτι γινεται ευκολα fix. Εγω προσωπικα κανω backup με το acronis,ΚΑΙ το MBR στο image!!!Οποτε σε 5 λεπτα τελειωνεις ως "κυριος",σε μια τετοια σπανια περιπτωση,ΚΑΙ ΑΝ στο αμεσο μελλον δεν διορθωθει απο τις εταιρειες virtualization. Τροποι υπαρχουν. Εδω υπαρχει μια Free εφαρμογη αποκλειστικα mbrguard,το οποιο αποτυχαινει σε 3 απο τις πεντε περιπτωσεις!Μιλαμε για σχεδον πληρη αποτυχια. Οποτε SD,DF,Returnil κλπ,ειναι πολυ αποτελεσματικα,και με ελαχιστη προσοχη,εχεις ενα καθαρο πσ. Για το hibernation του SD,εγω ειχα προβλημα σε ssd.Μετα απο το hibernation,το πσ κολλουσε σαν τον διαολο,επειδη μου χρησιμοποιουσε στα proccess την cpu στο 20% συνεχεια.Οποτε λαγκαριζε ασχημα.
Bax90 Δημοσ. 26 Σεπτεμβρίου 2013 Δημοσ. 26 Σεπτεμβρίου 2013 Άστο καλύτερα είναι μεγάλος μπελάς το SD γιατί δεν θα μπορώ να κάνω εγκατάσταση κάποιο πρόγραμμα θα πρέπει να το αλλάζω συνέχεια. Το SD είναι πολύ καλό για κάποιον Η/Υ που είναι κοινόχρηστος πχ νετ καφέ. Αν σου στείλω μέσω πμ εικόνα απο το Hijackthis θα μπορείς να μου πεις αν έχω κολλήσει κάποιο κακόβουλο λογισμικό; Και κάτι άλλο έχω παρατηρήσει το πισι μερικές φορές όταν κάνω ελαχιστοποίηση ένα παράθυρο κάνει ανανέωση τα εικονίδια στο desktop, μήπως είναι ένδειξη αυτό ότι κόλλησα ιό; Φίλε μου Χάρη όσο γι' αυτό που ανέφερες "μερικές φορές όταν κάνω ελαχιστοποίηση ένα παράθυρο κάνει ανανέωση τα εικονίδια στο desktop, μήπως είναι ένδειξη αυτό ότι κόλλησα ιό;" δεν πιστεύω ότι μπορεί να ευθύνεται ιός. Μάλλον κολλάν τα windows. Έχεις παρατηρήσει γενικά τον υπολογιστή σου να αργεί να ανοίξει κάτι ή ο κέρσορας του ποντικιού να αργεί να κουνηθεί κτλ; Αν ισχύει κάτι απ' αυτά που προανέφερα, τότε σημαίνει ότι ο υπολογιστής σου κολλάει επειδή τον έχεις φουλάρει ή επειδή τρεχεις πολλά προγράμματα μαζί ή τρέχεις "βαριά" προγράμματα (όταν λέω αργά, εννοώ ότι έχεις προγράμματα που για να τρέξουν με άνεση, θέλουν να έχει ο υπολογιστής συγκεκριμένες δυνατότητες).
V.I.Smirnov Δημοσ. 26 Σεπτεμβρίου 2013 Δημοσ. 26 Σεπτεμβρίου 2013 To hibernation δουλεύει απρόσκοπτα με το SD - τουλάχιστον με hdd δίσκους - και αυτός ήταν από τους βασικούς λόγους που το προτίμησα έναντι του DF. Για τα υπόλοιπα, ανέφερα τη γνώμη και την εμπειρία μου, αλλά αξίζει να επαναλάβω τη δυνατότητα της write cache που έχει το SD και ΔΕΝ έχει το DF. Kαι τα δυο, DF & SD, χρησιμοποιούν μια περιοχή του δίσκου όπου γράφουν τα προσωρινά δεδομένα και τις αλλαγές. Η περιοχή αυτή είναι έξω από τις partitions και συνήθως στο τέρμα του δίσκου (sector clusters with high numbers). Mετά το reboot,τα δεδομένα της εξακολουθούν να υπάρχουν αλλά απλώς είναι απροσπέλαστα από το λειτουργικό. Mε την δυνατότητα write cache που έχει το SD, μπορείς να αφιερώσεις ένα μέρος της RAM για να γράφονται τα προσωρινά δεδομένα κι οι αλλαγές. Π.χ. αν έχεις 8 GB, δίνεις τα 2. Έτσι μειώνονται τα γραψίματα στον δίσκο (σημαντικό για τους SSD δίσκους) καθώς και τα ίχνη που θα μπορούσαν να ανακτηθούν σε "εγκληματολογική" ανάλυση. Τo DF ΔΕΝ έχει αυτά τα πλεονεκτήματα. http://www.forensickb.com/2010/10/forensic-analysis-of-frozen-hard-drive.html Όσο για τις παραπάνω δοκιμές, τα προγράμματα αυτά είναι light virtualization και συνεπώς δεν είναι απρόσβλητα. Tο diskShot παρόλο που θωρακίζει 100% το mbr, http://www.wilderssecurity.com/attachment.php?attachmentid=234902&d=1349286456 σε αντίστοιχη δοκιμή επίσης απέτυχε όπως και το SD να αποτρέψει πλήρως τον Sinowal : http://malwaretips.com/Thread-Diskshot-Home-3-7-970-vs-5-MBR-VBR-Rootkits Ωστόσο, ισχύει η παρατήρηση που τόνισα και στο post #31. Mένει κάποιο υπόλειμα το οποίο όμως δεν μπορεί να κάνει ζημιά. Όπως έγραψα, γενικά θεωρώ το DF ένα σκαλί πιο ασφαλές αλλά είναι δύσχρηστο και δύσκαμπτο για τον οικιακό χρήστη. Τέλος, πώς κάνεις αντίγραφο από το MBR στο image; Το acronis, όταν ξαναπερνάς το image στον δίσκο έχει την επιλογή "restore MBR" αλλά δεν θυμάμαι να έχει κάτι σχετικό όταν λαμβάνεις το image... Kαι εν τέλει, χρειάζεται να κρατάμε αντίγραφο του MBR (αν μπορεί να γίνει αυτό) ή απλώς το αποκαθιστούμε με κάποιον τρόπο όταν πάθει ζημιά; -
Hawk7 Δημοσ. 26 Σεπτεμβρίου 2013 Δημοσ. 26 Σεπτεμβρίου 2013 Έτσι μειώνονται τα γραψίματα του δίσκου (σημαντικό για τους SSD δίσκους) και ελαχιστοποιούνται τα ίχνηπου θα μπορούσαν να ανακτηθούν σε "εγκληματολογική" ανάλυση. Eχω κανει αμετρητες δοκιμες.Ενα σωρο γραψιματα σε freeze κατασταση,και μετα απο restart,οτι μα οτι και να χρησιμοποιησεις για να κανεις recovery δεν βρισκει τιποτε.Λεπτομερειες δεν ξερω.Παντως την δουλεια του την κανει. Τέλος, πώς κάνεις αντίγραφο από το MBR στο image; Το acronis, όταν ξαναπερνάς το image στον δίσκο έχει την επιλογή "restore MBR" αλλά δεν θυμάμαι να έχει κάτι σχετικό όταν λαμβάνεις το image... Kαι εν τέλει, χρειάζεται να κρατάμε αντίγραφο του MBR (αν μπορεί να γίνει αυτό) ή απλώς το αποκαθιστούμε με κάποιον τρόπο όταν πάθει ζημιά; Οταν κανεις image με το boot cd,σου ζητα τι να επιλεξεις.Εκει σου δινει τον δισκο,και το Mbr. Aντιγραφο ειναι καλο να γινεται,οταν καποιος δεν ξερει να κανει fix χειροκινητα.Tον διευκολυνει αρκετα. http://www.raymond.cc/blog/5-free-tools-to-backup-and-restore-master-boot-record-mbr/ http://mbrwizard.com/ Αυτα.
Χάρης Μυλωνίδης Δημοσ. 26 Σεπτεμβρίου 2013 Μέλος Δημοσ. 26 Σεπτεμβρίου 2013 οκ έτρεξα κάποια αντιικά μέσα απο live cd και βρήκε κάποια τρόγιανς. Ευχαριστώ και πάλι για τις απαντήσεις. κάτι τελευταίο πως θα βρω παραπλήσια προγράμματα σαν το DF, SD; Τι πρέπει να πληκτρολογήσω στο Google;
Bax90 Δημοσ. 27 Σεπτεμβρίου 2013 Δημοσ. 27 Σεπτεμβρίου 2013 παιδιά αυτό που ακούω συνέχεια είναι την λέξη "fix" τι σημαίνει αυτό στο λεξιλόγια των υπολογιστών; Επίσης, πώς μπορούμε να κάνουμε image το MBR; ποιο πρόγραμμα είναι το καλύτερο γι' αυτήν την δουλειά (είδα τα διάφορα προγράμματα που μας έστειλε ο Hawk7, αλλά θα ήθελα το πιο καλό ή πιο θεωρείται εσείς καλό Επίσης θα ήθελα να σας ρωτήσω, αν πάθει κάτι το ΜBR (που μάλλον αν πάθει δεν θα φορτώνουν τα windows) και εμείς βάλουμε το cd με το οποίο το κάναμε image, θα το τρέξει σαν να κάναμε φormat sτον υπολογιστή, και στην συνέχεια τι θα γίνει, θέλω να πω, θα χρειστεί να κάνουμε κάτι εμείς;
Προτεινόμενες αναρτήσεις
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώρα